跳转到主要内容

如何设置和使用 SAML 单点登录?

C
作者:CX Enablement
超过 4 个月前更新

本文概述了SAML单点登录的设置和功能,用于用户身份验证和管理。它描述了集成过程、功能和设置步骤。

主要产品优势

  1. 简化身份验证

  • 允许客户通过其公司身份登录。

  • 支持服务提供商(SP)和身份提供商(IdP)发起的流程。

  1. 用户配置和管理

  • 使用SCIM进行自动化用户配置、更新和撤销。

  • 为不想设置SCIM的用户提供即时配置。

  • 支持自定义用户角色和团队的属性映射。

  • 通过SAML配置的用户将不再需要经过传统的用户请求审批流程,从而显著减少管理开销。

  1. 增强安全性

  • 安全处理名称ID、属性和身份验证情境。

  • 关联域名身份验证以确保用户属于正确的组织。

功能描述和设置

  • 此更新主要针对大型组织

  • 以下示例以Okta作为身份提供者进行演示,但SAML集成适用于任何支持SAML 2.0的身份提供。

每个身份提供者的配置界面可能略有不同,但核心设置过程保持不变:

  1. 在身份提供者中创建一个应用程序。

  1. 配置服务提供者(CisionOne/Streem)提供的ACS URL和SP实体ID。

  1. 映射如email、first_name、last_name和自定义角色等属性。

SAML设置(Okta端 - 必需)

1. 在Okta中创建新的应用集成

进入您的身份提供者管理员仪表板,创建新的应用集成。如果出现登录方法提示,请确保选择SAML 2.0。

2. 从CisionOne复制并粘贴ACS和SP实体ID

  • 通过访问 组织 → 集成 → SAML 进入SAML集成页面。

  • 复制ACS URL和SP实体 ID

  • 将ACS Url和SP身份ID粘贴到相应的字段中。使用电子邮件地址作为名称ID格式,并使用电子邮件作为应用程序用户名。

3. 设置属性

  1. 通过您的身份提供者的属性声明部分设置属性语句。我们目前需要:

  1. email

  1. first_name

  1. last_name

  1. primary_team(可选)

  1. monitoring_user_role(可选)

  1. social_user_role(可选)

  1. outreach_user_role(可选)

在 Okta 中,从 SAML 集成向下滚动以到达属性语句部分。添加以下属性。

  • 确保在Okta的个人资料编辑器中设置所需和期望的可选属性。

SAML 设置(CisionOne - 必需)

1. 从Okta复制并粘贴ACS和SP实体ID

  • 创建应用程序后,从您的身份提供者复制SSO URL、身份提供者发行者(身份 ID)和X.509证书,并将其粘贴到CisionOne的集成页面,以建立连接。

2. 设置关联域名

  • 如果您在多个域名或组织中有用户,请设置域身份验证并使用生成的密钥将其添加到您的DNS记录中。确保点击“验证域名”以正确建立连接。

  • 如果用户属于多个组织或帐户,请确保在两个帐户之间进行适当的域名验证。这有助于避免传输冲突,并确保用户正确认证。如果未设置,用户将无法在左上角的组织下拉菜单中看到他们的其他组织,并且需要单独登录到他们的其他帐户,无法使用SAML SSO。

3. 设置自定义属性值映射

  • 为了使团队和用户角色属性正常工作,管理员必须在CisionOne中映射自定义属性值。

  • 向下滚动到CisionOne SAML集成并打开“自定义属性(可选)”折叠面板。

注意:如果组织没有设置可选属性,则将根据CRM中的设置分配默认团队和角色。如果他们没有默认团队,则将不分配任何团队。

SCIM 设置(Okta 和 Cision)

  • SCIM独立于SAML,Okta 允许我们使用此规范来配置、取消配置和更新用户。

  • 如果未设置SCIM,仍然可以通过即时配置进行配置,但将无法进行更新和取消用户配置。

SCIM 表单

  • 通过进入应用集成 → 配置 → SCIM连接来访问SCIM表单。

  • 当到达HTTP头 → 授权 部分时,请参考 CisionOne 内的集成页面。

  • 滚动到页面底部以生成并复制一个令牌。将此令牌粘贴到身份提供者(IDP)内的授权字段中。

在填写完Okta SCIM表单中的所有详细信息后,点击“测试连接器配置”。测试连接后,您应该会看到以下屏幕:

启用推送操作,以允许IDP在Cision内部自动创建、更新和停用用户。

  • 现在,当您在IDP中添加、删除或更改用户时,他们将与Cision中的用户档案同步。

  • 要使用的授权令牌是SAML集成模态中生成的令牌。

SCIM的属性

  • 在为SCIM分配属性时,请根据下面的截图添加“外部命名空间”字段。

  • 注意:团队的外部命名空间需要是 urn:ietf:params:scim:schemas:extension:teams:2.0:User,外部名称为 primary_team

  • 对于角色,外部命名空间需要是 urn:ietf:params:scim:schemas:extension:roles:2.0:User

外部名称需要根据所需的用户角色类型选择以下之一:monitoring_user_role,social_user_role,outreach_user_role

  • 然后,当您将用户添加到应用程序、删除用户或对用户进行更改时,他们将与API和身份服务进行同步。

登录流程

该集成允许SP发起和IdP发起的身份验证流程。

  1. 从IDP

  1. 设置完成后,您应该能够在身份提供者的用户仪表板中看到创建的应用程序。当点击该图块时,浏览器将重定向到CisionOne并使用户登录。如果用户尚不存在于Cision中,该图标还将为用户进行配置。

  1. 从CisionOne

  1. 从CisionOne登录时,选择“使用SAML登录”按钮。用户必须输入他们的公司电子邮件并选择“单点登录”。登录后,用户可能会被短暂重定向到他们的身份提供者,然后再重定向回Cision。

如果用户的电子邮件不存在或他们的登录存在问题,将显示以下报错信息。

这是否解答了您的问题?